Эксперты компании по разработке ПО Mysk выяснили, что популярные приложения для iOS шпионят за пользователями необычным методом — через пуш-уведомления. Подход позволяет собирать цифровые отпечатки для отслеживания, например, в рекламных целях.
Как устроена схема?
iOS автоматически останавливает работу неактивных утилит, чтобы сэкономить ресурсы смартфона, а заодно предотвратить фоновый сбор данных. Но в iOS 10 появился инструмент UNNotificationServiceExtension, который ненадолго пробуждает программу, когда она получает push-уведомление. Это полезно, если сервис хочет модифицировать содержимое оповещения перед тем, как его увидит пользователь. Например, мессенджеры с оконечным шифрованием используют этот механизм, чтобы локально расшифровать сообщение и показать в уведомлении исходный текст. iOS снова «убивает» приложение сразу после того, как оно завершает модификацию оповещения.
Но даже ограниченная по времени возможность выполнять задачи в фоновом режиме — это золотая жила для создателей софта, пишут аналитики Mysk. Поэтому некоторые разработчики пользуются UNNotificationServiceExtension ради запуска любого кода в любой момент. Достаточно лишь инициировать отправку push-уведомления пользователям.
Как выяснили эксперты, некоторые утилиты успевают отправить на сервер информацию об устройстве: время с момента перезагрузки, язык клавиатуры, объём свободной памяти, заряд батареи, модель телефона, яркость дисплея и так далее.
Кажется, что это безобидные сведения. Но комбинация множества параметров позволяет определить уникальный цифровой отпечаток («фингерпринт») гаджета. Цифровой отпечаток часто применяют, чтобы отслеживать действия пользователя в разных приложениях и подстраивать персонализированную рекламу.
Подобной схемой промышляют Facebook*, Instagram*, TikTok, LinkedIn и X, утверждают в Mysk.
Что говорят разработчики?
Представитель LinkedIn заверил издание Gizmodo, что их ПО не использует уведомления для сбора данных о пользователях в рекламных или аналитических целях. Информация нужна «только для подтверждения того, что уведомление было успешно отправлено», и никогда не передаётся наружу.
В пресс-службе Meta* заявили, что используют сведения, собранные во время отправки оповещений, «чтобы доставлять своевременные и надёжные уведомления с помощью API Apple».
Как избежать отслеживания?
Выводы Mysk неутешительны: чтобы предотвратить возможность отслеживания, придётся полностью отключить уведомления для всех злоупотребляющих программ. Вот как это сделать:
- Откройте приложение «Настройки» и перейдите в раздел «Уведомления».
- Найдите нужное ПО в списке и нажмите на него.
- Переведите тумблер «Допуск уведомлений» в неактивное положение.
С весны 2024 года Apple будет требовать от разработчиков объяснить, зачем их приложение использует уникальные идентификаторы устройства. Так компания намерена бороться со сбором «фингерпринтов».
* Деятельность компании Meta Inc. и её продуктов Instagram и Facebook признана в России экстремистской и запрещена